Простой Mifare-сниффер - Страница 21

SERPUX · 21.06.2023, 21:07

Сообщение от realid

SERPUX, что за режим "1Кб"? Нет, такого режима в плюсах. Есть режимы SL0, SL1, SL2(в некоторых, например MF+ X)SL3. SL1 это как раз режим работы как MF Classic и соответственно набор команд как у классик плюса команды части 4 протокола ISO14443. И в SL1 карта выдает ATQA и SAK как у Classic. Изначально новые карты идут в SL0. А там уже пользователь решает в какой режим переводить.

спасибо за поправку - режим совместимости с Classic , просто не правильно назвал . про остальное в курсе .

-----

и просим прошение , разобрался . моя не внимательность и спешка все работает .

-----

и если можно то не большой вопрос . есть ли у кого программа -- qrapto1. -- в виде exe - ника а то по ссылке скачиваются исходники а как сделать exe я не знаю \ не могу . заранее спасибо скин проги ранее был показан

Сообщение от RECTO

Надо бы глянуть лог обмена. Тогда можно будет сказать, почему программа не находит ключи.

Потому что ты смотришь сессию, где обращение идёт только к блокам 0 и 14 сектора. В этом можно легко убедиться - нужно в программе залезть в "опции" и восстановить галку "подробная расшифровка лога". Запустить расшифровку, и тогда будет наглядно видно, что никаких других данных там нет. Ну или опять же - нужно посмотреть лог, где идёт обращение к "не заданным" секторам, от которых программа не ищет ключи...

спасибо уже разобрался , да подбирает от всех секторов

realid · 21.06.2023, 21:14

Сообщение от RECTO

2) запустить программу, реализующую Nested

Есть еще hard nested атака. Ее можно использовать, если nested не дает результата. Но она по времени дольше.

RECTO · 23.06.2023, 18:39

Сообщение от SERPUX

и если можно то не большой вопрос . есть ли у кого программа -- qrapto1. -- в виде exe - ника

Есть, держи. Надеюсь, я не нарушу этим авторских прав Bla and Tilka.

И у меня тогда есть встречный вопрос:

Сообщение от realid

Есть еще hard nested атака.

А есть у кого-нибудь готовое решение Hard Nested атаки под Windows для ACR122U?
Чтоб без компиляций исходников и плясок с бубном?..

Rackey · 06.07.2023, 17:02

Добрый день!

Хотел поблагодарить за девайс и все около него. Обнаружил в 2021 и использую с того времени, все отлично.

Также хотелось бы услышать более детально про реализации фильтров.
Хотелось бы расширить познания в этой теме. Потому что Вы очень детально описали сами идеи, но хотелось бы, все таки услышать чуть больше про фильтры OTP. OTP 2.0, MF-3 (т.к. появялется всё больше СP-Z-2 (мод. MF-I) с 7.20).

Хотелось бы понимания "куда и на что смотреть, её также можно легко обнаружить" и как вот подобное обнаруживать. И как удалось фильтровать MF-3 без попытки записи в блок 0.

Если эта информация не есть приватной и Вас не утрудит, буду благодарен почитать детали)

RECTO · 07.07.2023, 05:49

Rackey, здравствуйте! Спасибо за ваш отзыв.

Сообщение от Rackey

Хотелось бы понимания "куда и на что смотреть, её также можно легко обнаружить" и как вот подобное обнаруживать.

Нужно найти фрагмент, где после запроса "Select UID" следующей же командой ридер посылает сброс "REQA". То есть:

Код:

pcd : 26
tag : 04 00
pcd : 93 70 F9 59 06 05 A3 DB 04
pcd : 26

Но - это в случае с настоящей меткой Mifare Classic. А если это клон на заготовке Zero или OTP, то этот же фрагмент будет выглядеть иначе - метка пошлёт ответ "SAK":

Код:

pcd : 26
tag : 04 00
pcd : 93 70 F9 59 06 05 A3 DB 04
tag : 08 B6 DD

Почему так происходит, я писал в своей статье. Конкретных деталей сообщить не смогу, это как раз "приватная информация" и меня просили её пока не разглашать. Могу лишь сказать, что ничего шибко умного там нет. Подсказка - можно подключить лог. анализатор к чек-поинтам "TEST PCD" и "TEST TAG" и снять пробную сессию с CP-Z-2, сами всё сразу и увидите...

Сообщение от Rackey

И как удалось фильтровать MF-3 без попытки записи в блок 0.

По фильтру MF-3 у меня точной информации нет. Есть только некоторые измышления. Например: в парах "запрос-ответ", которые не входят в процедуру инициализации и выбора метки, время ответа строго не регламентировано и у каждого типа меток оно получается своё. Заготовки - не исключение. То есть, к примеру, время "конец Reader Challenge - начало Tag Response" у чипа S50 будет одно (но - всегда точно одинаковое), а у MF-3 другое. Поэтому ридер может по ходу дела замерять эти тайминги, сравнивать их со своей базой (ведь этих заготовок не так уж и много типов) и принимать решение - клон это или нет. Так что если в будущем получится создать заготовку, в точности до такта (13.56 МГц) повторяющую все тайминги оригинального чипа S50, проблема будет решена. Но, повторюсь, это лишь мои некоторые измышления на тему, могу и ошибаться...
..

realid · 07.07.2023, 13:11

Сообщение от RECTO

Нужно найти фрагмент, где после запроса "Select UID" следующей же командой ридер посылает сброс "REQA". То есть:

Код:

pcd : 26
tag : 04 00
pcd : 93 70 F9 59 06 05 A3 DB 04
pcd : 26

Но - это в случае с настоящей меткой Mifare Classic. А если это клон на заготовке Zero или OTP, то этот же фрагмент будет выглядеть иначе - метка пошлёт ответ "SAK":

Код:

pcd : 26
tag : 04 00
pcd : 93 70 F9 59 06 05 A3 DB 04
tag : 08 B6 DD

Не совсем так, посылка сразу 93 70 с уидом не противоречит стандарту в процедуре антиколлизии и оригинал точно также ответит на эту команду. Там все дело в коротком прерывании поля рф порядка 2-3 мкрсек(стандартная пауза в битовом периоде 14443-2). После первой 26 и ответа карты дается эта "просечка" и затем только посылается 93 70 и у оригинала все ломается, он на следующую команду не ответит пока снова не будет 26, а не оригиналы не видят эту "просечку" и отвечают как ни в чем не бывало. Это все видно на осциллограмме. Так хитрожопые иронлогик и сделали фильтр. Есть уже заготовки, которые не фильтуруются ими, но их пока не в продаже.

petr5555 · 07.07.2023, 14:48

Ну, если это всё на что были способны в IL,
то мне их жалко....

Rackey · 07.07.2023, 16:09

RECTO, realid спасибо за информацию и уточнения. Интересно.

Цитата:

По фильтру MF-3 у меня точной информации нет. Есть только некоторые измышления. Например: в парах "запрос-ответ", которые не входят в процедуру инициализации и выбора метки, время ответа строго не регламентировано и у каждого типа меток оно получается своё. Заготовки - не исключение. То есть, к примеру, время "конец Reader Challenge - начало Tag Response" у чипа S50 будет одно (но - всегда точно одинаковое), а у MF-3 другое. Поэтому ридер может по ходу дела замерять эти тайминги, сравнивать их со своей базой (ведь этих заготовок не так уж и много типов) и принимать решение - клон это или нет. Так что если в будущем получится создать заготовку, в точности до такта (13.56 МГц) повторяющую все тайминги оригинального чипа S50, проблема будет решена. Но, повторюсь, это лишь мои некоторые измышления на тему, могу и ошибаться...

Спасибо, звучит как реалистичная гипотеза, но вопрос тоже сколько сейчас разных чипов под это всё добро есть с точки зрения создания блэклиста.
Потому что, кроме популярных в СНГ MF-3 есть еще вариации китайских CUID, Magic-карты (как китайские, так и от Lab 401), эмуляторы-снифферы (как девайс, который мы обсуждаем, Proxmark3, SMKey, Flipper Zero etc). Но звучит реалистично.

Сообщение от realid

Не совсем так, посылка сразу 93 70 с уидом не противоречит стандарту в процедуре антиколлизии и оригинал точно также ответит на эту команду. Там все дело в коротком прерывании поля рф порядка 2-3 мкрсек(стандартная пауза в битовом периоде 14443-2). После первой 26 и ответа карты дается эта "просечка" и затем только посылается 93 70 и у оригинала все ломается, он на следующую команду не ответит пока снова не будет 26, а не оригиналы не видят эту "просечку" и отвечают как ни в чем не бывало. Это все видно на осциллограмме. Так хитрожопые иронлогик и сделали фильтр. Есть уже заготовки, которые не фильтуруются ими, но их пока не в продаже.

Спасибо, я до осциллографа не дошел ещё, это прям дальнейший вектор.

У меня основная проблема, что сейчас в стране, где я, нереально купить СP-Z-2 (мод. MF-I) чтоб поиграться дома в лабораторных условиях, так сказать. А обычные CP-Z-2, даже с последней прошивкой, уже устарели (хоть и стоят много где), с ними проблем не было.

RECTO · 07.07.2023, 17:57

Сообщение от Rackey

звучит как реалистичная гипотеза, но вопрос тоже сколько сейчас разных чипов под это всё добро есть с точки зрения создания блэклиста. Потому что, кроме популярных в СНГ MF-3 есть еще вариации китайских CUID, Magic-карты

Это да, но вы не забывайте, что большинство "китайских" заготовок - это по сути те же "зерошки", которые фильтруются уже на первом этапе (командами "40h", "50h").

Сообщение от Rackey

эмуляторы-снифферы (как девайс, который мы обсуждаем, Proxmark3, SMKey, Flipper Zero etc)

Ну, а насчёт программных эмуляторов - автор соседней темы как-то писал мне, что он пробовал делать программный эмулятор и испытывал его на прошивке 7.20. Результат положительный. Что как раз-таки говорит в пользу моей гипотезы...

Сообщение от realid

Там все дело в коротком прерывании поля рф порядка 2-3 мкрсек(стандартная пауза в битовом периоде 14443-2). После первой 26 и ответа карты дается эта "просечка" и затем только посылается 93 70 и у оригинала все ломается

Ну да, я это как раз и имел ввиду под "приватной информацией", которую меня в своё время просили не разглашать. Ну, раз уж на то пошло...

В общем да, всё так и есть. На сессии эта "просечка" не видна, поскольку сниффер записывает только информацию длиннее 3-х бит, а всё что короче считает помехой. И поэтому просто остаётся характерное место: "select UID" и далее сразу сброс (26h), если работаем не с OTP и не с Zero.
..

Rackey · 07.07.2023, 23:36

Сообщение от RECTO

Это да, но вы не забывайте, что большинство "китайских" заготовок - это по сути те же "зерошки", которые фильтруются уже на первом этапе (командами "40h", "50h").

Ну я подразумевал MF-3 like таки, те, которые под эту связку не попадают)

Цитата:

Ну, а насчёт программных эмуляторов - автор соседней темы как-то писал мне, что он пробовал делать программный эмулятор и испытывал его на прошивке 7.20. Результат положительный. Что как раз-таки говорит в пользу моей гипотезы...

Мне тут плейграунда не хватает. Один раз был на объекте с 7.20, но тогда по железкам был Flipper Zero и Proxmark3 только с собой (из эмулей). Все отсеклось. Но это один случай, плохо для статистики. В тому же FZ в фирмварю висят пулл-реквесты по фиксу эмуляции, так что он вообще не репрезентативный.

Сообщение от RECTO

Ну да, я это как раз и имел ввиду под "приватной информацией", которую меня в своё время просили не разглашать. Ну, раз уж на то пошло...
В общем да, всё так и есть. На сессии эта "просечка" не видна, поскольку сниффер записывает только информацию длиннее 3-х бит, а всё что короче считает помехой. И поэтому просто остаётся характерное место: "select UID" и далее сразу сброс (26h), если работаем не с OTP и не с Zero.
..

Видимо, время уже прошло

В любом, случае, Вы своё слово сдержали и информации была не от Вас)